인터넷 뱅킹 위협 및 보안 프로그램의 종류

2008.08.27

 

인터넷 뱅킹을 사용하려면 보안프로그램을 필수로 설치를 해야 한다. 2~3년 전까지는 보안프로그램 설치를 안 해도 인터넷 뱅킹을 사용할 수 있었던 거 같은데, 어느새 필수요소가 되어버렸다. 그래도 뱅킹 페이지를 들어갈 때마다 작동을 해서 화면에 뜨고, 페이지 뜨는 속도가 늦는 경우도 있고 하다 보니 귀찮은 생각도 든다. 인터넷 뱅킹 보안프로그램 개발자인 본인도 귀찮아서 종종 꺼버리고 싶은 충동을 느낀다.

많은 사람들이 자칫 해킹을 당해서 내 계좌의 돈이 사라지지 않을까 하는 걱정을 할 것이다. 2007년도 전자신문사가 실시한 설문에 따르면 사용자들은 인터넷 뱅킹의 단점을 ‘해킹 등에 대한 불안감’을 1위를 꼽기도 했다. 무려 56%이였었다. 심지어 인터넷 뱅킹을 사용하지 않고 은행 업무가 필요할 때마다 은행을 이용하는 사람도 있다. 이러한 불안감은 쉽게 수그러들지 않을 것으로 예상된다.

인터넷 뱅킹 공격 유형
첫 번째는 은행서버를 목표로 해서 공격을 하는 것이고, 두 번째로는 뱅킹 이용자의 PC에 대한 공격이 될 것이다. 첫 번째의 경우는 이용자측면에서 특별히 조치를 취할 수 있는 부분이 없으므로 여기서는 넘어가기로 하자. 문제는 두 번째의 경우가 되는데 여기에 대해서 상당수의 일반 사용자들은 위험성을 인식하지 못하는 것으로 보인다. 인터넷 게시판이나 지식검색 등을 찾아보면 인터넷 뱅킹 사용시에 동작하는 보안프로그램이 뜨는 것에 대해서 부정적인 글을 많이 찾아볼 수 있고(귀찮다는 이유로…), 심지어는 보안프로그램을 안 띄우고 인터넷 뱅킹을 사용하는 방법에 대한 글도 올라와있다.

이용자의 PC에 대한 공격은 어떻게 할까?
먼저 여러 가지 방법을 통해서 해킹프로그램을 사용자PC에 설치를 할 것이다. 그리고 그 해킹프로그램은 공인인증서 탈취와 비밀번호 입력 값을 빼낼 것이고, 이것을 가지고 본인 몰래 인터넷 뱅킹에 접속해서 계좌에 돈을 빼낼 것이다. 필자가 유사한 사례를 당할 뻔 한적이 있었는데 그것을 얘기 해보겠다.

2003년쯤으로 기억을 한다. 그 당시 필자는 P2P프로그램을 개발하고 있었고, 그 프로그램으로 유무료로 서비스를 하면서 매출도 제법 나오고 있었다. 그런데 자료검색을 해보니 무료사용자가 유료사용자처럼 접속할 수 있는 프로그램이라 돌아다니고 있어 테스트를 해봤다. 아이디와 패스워드를 넣고 로그인 버튼을 누르면 된다고 했는데, 해보니 그런 기능은 작동하지 않았다. 처음에는 장난이라는 생각에 피식 웃고 말았다. 그러다가 다시 생각을 해보니 P2P프로그램 접속 계정은 내가 사용하는 인터넷 사이트의 모든 계정과 동일한 것이었다. 대부분의 이용자는 나와 비슷하리라 생각된다.

그 프로그램을 통해서 해커는 내 계정정보를 획득한 것이고, 획득된 계정정보를 가지고 이메일을 포함해서 내 개인정보를 모두 볼 수 있게 된 것 이였다. 심지어는 뱅킹 접속이 가능할 수도 있는 상황이었다. 다행히 공인인증서 비밀번호는 인터넷 포탈사이트등과는 다르게 해놓았으므로, 금전적인 문제가 발생하지 않았었다. 최악의 경우 노출된 그 비밀번호가 공인인증서, 계좌이체 비밀번호와 같았다면 내 계좌는 텅텅 비는 사태가 벌어질 수도 있는 상황이었다.

보안 팁
흔히들 귀찮고 기억하기도 어렵고 가끔 헷갈린다는 이유로 이메일, 쇼핑 사이트, 게임, 블로그를 포함한 모든 사이트의 비밀 번호와 패스워드를 동일하게 쓴다. 이럴 경우 최근 자주 발생하고 있는 개인정보 유출 사건, 사고로 인해 어느 한가지의 웹사이트에서 개인정보가 유출 될 경우 줄줄이 피해가 일어날 것은 불보듯 뻔하다. 가능하면 웹사이트의 보안 체계나 필요한 보안 등급을 나름대로 정리를 하여 패스워드나 아이디를 각각 다르게 만드는 것이 좋다.

위의 경우는 직접적으로 인터넷 뱅킹에 접속하는 것에 대한 공격이 아니라 우회적인 방법으로 계정정보를 획득해서 인터넷 뱅킹에 불법접속 할 수 있는 가능성을 만드는 것이다. 직접적인 공격방법은 공인인증서 비밀번호 입력 시에 비밀번호와 계좌이체 비밀번호 등의 키 입력을 가로채는 행위와 공인인증서 파일을 외부로 유출하는 등의 방법이 있다. 이러한 문제들을 막기 위해 작동하는 인터넷 뱅킹 보안 프로그램에 대해서 알아보자.

인터넷 뱅킹 보안프로그램의 종류
인터넷 뱅킹 시에 동작하는 보안프로그램은 공인인증서, 방화벽, 키보드보안 프로그램이다. 이 세가지 프로그램은 2006년 금융감독원이 인터넷 금융사고 예방을 위해 의무화하면서 인터넷 뱅킹에서 필수가 되었다. 위의 세가지 프로그램에 대해서 좀더 구체적으로 알아보자.

- 방화벽 (Firewall)
방화벽은 네트워크를 통해서 불법적인 침입을 해오는 것을 제한하여 내부 정보가 유출되는 것을 막기 위한 보안 프로그램이다. 외부에서 내부로 들어오는 침입, 내부에서 외부로 나가는 정보를 모두 제한할 수 있다. 그리고, 뱅킹에서 사용되는 방화벽은 방화벽 본래의 기능에 추가적으로 실시간 감시 및 차단기능을 통해서 해킹툴을 제거하는 기능도 갖추고 있는 경우도 있다.

방화벽 화면

- 키보드보안 (Anti-Keylogger)
키보드 보안 프로그램은 ID와 비밀번호 등 키보드로 입력할 수밖에 없는 비밀번호, 계좌번호, 암호 등을 훔쳐가기 위해 이용자의 PC에 몰래 설치되어서 실행되는 ‘키로거’를 막기 위한 것이다.

 키보드로 입력되는 개인 정보를 암호화하여 유출되지 못하게 하는 기능을 제공하며, 보통은 화면 오른쪽 하단에 위치한 트레이 영역에 아이콘으로 표시된다. 비밀번호를 입력하는 공간에 마우스를 클릭해보면 아이콘이 깜박거리는데, 이는 키보드 보안 모듈이 실행 중임을 의미한다. 데이터가 입력된 뒤 네트워크를 통해 전송되는 과정에 여러 단계가 있는데, 키로거마다 데이터를 훔쳐가는 단계가 다르고 그 중간 과정에서 계속 데이터를 훔치려고 시도한다. 따라서 키보드 보안 프로그램은 어느 단계에서 방어를 할 것인지를 결정하여 방어한다.

이 키보드보안 프로그램은 키입력에 대한 방어를 목적으로 주로 하기 때문에 키로거를 차단하는 기능을 일반적으로는 가지고 있지 않다. 키로거 차단은 위의 방화벽의 추가기능인 실시간 감시 및 차단기능에서 하는 것이 보통이다.

[사진 출처: 우리은행]

- 공인인증서
공인인증서는 인터넷을 통해 거래할 때 본인임을 확인하기 위해 전자적으로 신분을 확인하는 디지털 서명이다. 전자서명법에 근거해 만들어진 인증방법으로, 국내 공인인증기관에서 ‘나’ 라는 신분확인을 증빙했다면 법적으로 인증되어 공인인증서를 발급받게 된다. 공인인증서가 내 신분을 증명하기 때문에 인터넷 뱅킹시 내 계좌에서 출금과 송금이 가능한 것이다.

공인 인증서 화면

- 기타
최근에는 위의 세가지 필수 프로그램 이외에 보안브라우저나 안티피싱 프로그램도 등장하고 있다. 이 제품들은 아직까지는 은행별 선택사양으로 설치가 가능하다.

완벽한 보안프로그램은 존재하지 않는다?
세상의 어떤 보안프로그램도 완벽할 수는 없다. 최대한의 방어를 목적으로 한다는 것이 좀더 정확한 표현이 될 듯 하다. 다만, 인터넷 뱅킹에서 동작하는 보안 프로그램은 기존의 V3, 시만텍, 카스퍼스키, 알약 등의 제품과는 달리 인터넷 뱅킹을 사용할 때만 동작을 한다. 그래서 인터넷 뱅킹을 사용하기 이전에 침입해 있는 악성해킹프로그램에 취약할 수 있다. 보안성 측면에서 본다면 기존의 보안제품을 사용하고 있는 상태에서 인터넷 뱅킹을 이용 하는 것이 좋다고 볼 수 있다. 또 한가지 알아둘 것은 은행 별로 각기 다른 업체의 뱅킹 보안프로그램을 사용하고 있으므로, 여러 은행을 동시에 사용할 경우 보안프로그램 간의 충돌이 발생할 가능성이 있다는 것이다. 되도록이면 한번에 하나의 은행을 사용할 것을 추천한다.

좀더 안전하게 인터넷 뱅킹 사용하기
앞서 얘기를 했듯이 인터넷 뱅킹에서 보안프로그램을 동작하더라도 동작상의 취약성이 있을 수 있으므로 상시적으로 구동되는 보안프로그램을 설치를 할 것으로 강력하게 추천을 한다. 물론 윈도우 보안업데이트는 당연히 필수이고, 마지막으로 Activex가 악의적으로 구동되지 않도록 Internet Explorer의 인터넷 옵션에서 보안수준을 함부로 낮추지 않기를 권한다.@

[글] 안철수연구소 서비스개발팀 이연조 선임연구원